调查资源类型
适用于:
希望体验 Defender for Endpoint? 注册免费试用版。
注意
如果你是美国政府客户,请使用 适用于美国政府客户的 Microsoft Defender for Endpoint 中列出的 URI。
提示
为了提高性能,可以使用离地理位置更近的服务器:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
表示 Defender for Endpoint 中的自动调查实体。
有关详细信息,请参阅 自动调查概述。
方法
方法 | 返回类型 | 说明 |
---|---|---|
列出调查 | 调查收集 | 获取调查集合 |
获取单个调查 | 调查实体 | 获取单个调查实体。 |
启动调查 | 调查实体 | 在设备上启动调查。 |
属性
属性 | 类型 | 说明 |
---|---|---|
ID | String | 调查实体的标识。 |
startTime | DateTime 可为 Null | 创建调查的日期和时间。 |
endTime | DateTime 可为 Null | 调查完成的日期和时间。 |
cancelledBy | String | 取消调查的用户/应用程序的 ID。 |
状态 | 枚举 | 调查的当前状态。 可能的值为:“Unknown”、“Terminated”、“SuccessfullyRemediated”、 “Benign”、“Failed”、“PartiallyRemediated”、“Running”、“PendingApproval”、“PendingResource”、“PartiallyInvestigated”、“TerminatedByUser”、“TerminatedBySystem”、“Queued”、“InnerFailure”、“PreexistingAlert”、“UnsupportedOs”、“UnsupportedAlertType”、“SuppressedAlert”。 |
statusDetails | String | 有关调查状态的其他信息。 |
machineId | String | 执行调查的设备 ID。 |
computerDnsName | String | 执行调查的设备的名称。 |
triggeringAlertId | String | 触发调查的警报的 ID。 |
Json 表示形式
{
"id": "63004",
"startTime": "2020-01-06T13:05:15Z",
"endTime": null,
"state": "Running",
"cancelledBy": null,
"statusDetails": null,
"machineId": "e828a0624ed33f919db541065190d2f75e50a071",
"computerDnsName": "desktop-test123",
"triggeringAlertId": "da637139127150012465_1011995739"
}
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。